Exemplo de configuração de acesso ao portal administrativo do ISE com credenciais do AD

Opções de download

  • PDF     (694.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (537.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (356.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de setembro de 2013
ID do documento:116503

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve um exemplo de configuração para o uso do Microsoft Ative Diretory (AD) como um armazenamento de identidade externo para acesso administrativo à GUI de gerenciamento do Cisco Identity Services Engine (ISE).

Pré-requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Configuração do Cisco ISE versões 1.1.x ou posterior
  • AD da Microsoft

Componentes usados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco ISE versão 1.1.x
  • Windows Server 2008 versão 2

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Use esta seção para configurar o para o uso do Microsoft AD como um armazenamento de identidade externo para acesso administrativo à GUI de gerenciamento do Cisco ISE.

Junte-se ao ISE para o AD

  1. Navegue até Administração > Gerenciamento de identidades > Fontes de identidade externas > Ative Diretory.
  2. Insira o nome de domínio do AD e o nome do armazenamento de identidade e clique em Ingressar.
  3. Insira as credenciais da conta do AD que pode adicionar e fazer alterações em objetos de computador e clique em Salvar configuração.

     

Selecionar grupos de diretórios

  1. Navegue até Administração > Gerenciamento de identidades > Fontes de identidade externas > Ative Diretory > Grupos > Adicionar > Selecionar grupos do diretório
  2. Importe pelo menos um Grupo do AD ao qual o administrador pertence.

     

Habilitar Acesso Administrativo para AD

Conclua estas etapas para habilitar a autenticação baseada em senha para o AD:

  1. Navegue até Administração > Sistema > Acesso de administração > Autenticação.
  2. Na guia Método de autenticação, selecione a opção Baseado em senha.
  3. Selecione AD no menu suspenso Identity Source.
  4. Clique em Save Changes.

Configurar o grupo de administração para o mapeamento do grupo do AD

Defina um grupo de administradores do Cisco ISE e mapeie-o para um grupo do AD. Isso permite autorização para determinar as permissões de RBAC (Controle de Acesso Baseado em Função) para o administrador com base na associação de grupo no AD. 

  1. Navegue até Administração > Sistema > Acesso de administração > Administradores > Grupos de administração.
  2. Clique em Add no cabeçalho da tabela para exibir o novo painel de configuração do Grupo de administração.
  3. Digite o nome do novo grupo Admin.
  4. No campo Tipo, marque a caixa de seleção Externo.
  5. No menu suspenso External Groups, selecione o grupo AD para o qual você deseja que esse grupo de administradores mapeie, conforme definido na seção Select Diretory Groups.
  6. Clique em Save Changes (Salvar alterações).

     

Definir permissões RBAC para o grupo de administradores

Conclua estas etapas para atribuir permissões RBAC aos grupos de administradores criados na seção anterior:

  1. Navegue até Administration > System > Admin Access > Authorization > Policy.
  2. No menu suspenso Actions à direita, selecione Insert New Policy Below para adicionar uma nova política.
  3. Crie uma nova regra chamada ISE_administration_AD, mapeie-a com o Grupo Admin definido na seção Habilitar Acesso Administrativo para AD e atribua permissões a ela.

    Observação: neste exemplo, o grupo Admin chamado Super Admin é atribuído, o que equivale à conta admin padrão.

  4. Clique em Save Changes e a confirmação das alterações salvas será exibida no canto inferior direito da GUI.

     

Acessar o ISE com credenciais do AD

Conclua estas etapas para acessar o ISE com credenciais do AD:

  1. Encerre a sessão da GUI administrativa.
  2. Selecione AD1 no menu suspenso Identity Source.
  3. Insira o nome de usuário e a senha do banco de dados do AD e faça logon.

Observação: o ISE assume como padrão o armazenamento de usuário interno caso o AD esteja inacessível ou as credenciais de conta usadas não existam no AD. Isso facilita o logon rápido se você usar o armazenamento interno enquanto o AD estiver configurado para acesso administrativo.

Verificar

Para confirmar se sua configuração funciona corretamente, verifique o nome de usuário autenticado no canto superior direito da GUI do ISE.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
09-Sep-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Jatin Katyal
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco